今回、カケハシはFlatt Securityのセキュリティ診断メニュー「Webアプリケーション診断」と「GraphQL診断」を利用。薬局体験アシスタント「Musubi」、薬局業務見える化ツール「Musubi Insight」、おくすり連絡帳「Pocket Musubi」、薬局向けのクラウド型在庫管理・発注システム「Musubi AI在庫管理」の計4サービスを対象として、セキュリティリスクの調査・検証を行いました。

診断実施の背景や感想について、カケハシのSRE・高木さんにお話を伺いました。

シフトレフトを意識し、開発チーム主導で自動診断を日常的に実施

ーー高木さんはカケハシでどのようなお仕事をされているのでしょうか？

高木さん　SREチームのメンバーとして、セキュリティを含めた非機能要件全般の運用を担当しています。プロダクトの信頼性や開発パフォーマンスを向上するためのサポートも行っています。

セキュリティの専任メンバーは在籍していないのですが、防御に関してはSREチームでしっかり対応しています。

ーー今回診断対象となった4サービスについて教えていただいてもよろしいでしょうか。

高木さん　Musubiは、薬局で働く薬剤師さんの業務効率化や、患者さんとのコミュニケーション促進をサポートすることで、薬剤師さん・患者さん双方の”薬局体験”を向上するプロダクトです。

Musubi Insightは、薬局の経営データを分析できる薬局経営者向けのプロダクト。Musubi AI在庫管理は薬局向けのクラウド型在庫管理・発注システムで、この2つはtoBのサービスです。

Pocket Musubiは患者さん向けのプロダクトです。おくすり連絡帳としての機能を持つのに加え、LINEで薬剤師さんの服薬フォローを受けられる仕組みも備えています。

いずれも個人情報や機微情報を扱うため、開発時からセキュリティを強く意識しています。特に、内部統制については専門家の助言をいただきながら確認するようにしています。例えば、「開発者がどのデータを閲覧できて良いか」や「どのデータを触って良いか」などです。

ーーどのような体制でセキュリティ診断を実施されていますか？

高木さん　シフトレフトを意識して、内部的なセキュリティ診断は開発チームが日常的に実施しています。開発チームが行った診断結果を元に、SREチームが検査していく流れです。アプリケーションレベルだと、OWASP ZAPなどを使って実施（※）することが多くなっています。コーディングレベル、インフラレベルだとツールを使った静的解析を中心に実施しています。

外部ベンダーに依頼する際は、SREチーム主導で進めています。社内でセキュリティ診断を日常的に実施することで、設定の誤りなどの初歩的なミスはほぼなくなっています。外部ベンダーによる手動診断では、権限昇格など、自動診断で検出が難しい脆弱性を中心にチェックしたいと考えています。

（※）カケハシのテックブログでは、OWASP ZAPを用いたセキュリティ診断の手法が解説されています。

　【開発者でもできる!】OWASP ZAPを利用したGraphQLアプリケーションへの脆弱性診断 　https://kakehashi-dev.hatenablog.com/entry/2022/08/17/100000

先進的な技術に対応できるベンダーを探していた

ーー今回セキュリティ診断を実施された背景について教えてください。

高木さん　Musubiの市場シェアが10％を超え、全国7,000店舗以上の薬局で採択されるなど、カケハシの事業は継続的に成長を続けています。2023年1月にはシリーズCファーストクローズで約76億円の資金調達を実施しました。

事業拡大とともに、ウエルシア薬局やイオン薬局をはじめとする大手企業とも協業させていただく場面が増えつつあります。そのような背景もあり、これまで以上に厳格にプロダクトの信頼性を担保していきたいと思い、外部ベンダーにセキュリティ診断をお願いすることにしました。

ーーどのようなきっかけで、今回Flatt Securityを選んだのでしょうか？

高木さん　セキュアコーディングの学習を進めていきたいと思い、どのようなサービスがあるのか探していたところ、Flatt Securityが提供しているセキュアコーディングプラットフォーム「KENRO」に辿り着きました。海外のサービスもいくつか見ていたのですが、攻撃手法の学習を中心としたものが多い印象で、KENROのように防御手法のトレーニングができるサービスはごく少数だったので、貴重に感じました。検討の結果、KENROの導入を決め、GraphQLコースを社内で活用していました。

その後、セキュリティ診断の体制を本格的に強化するにあたって、GraphQLをはじめとした先進的な技術に対応できる診断ベンダーを探していた中で、Flatt Securityが候補に上がりました。複数社を対象として価格面も含めた比較検討を行い、Flatt Securityが総合的に良さそうだったので選定しました。

Flatt Securityのセキュリティ診断は、経済産業省の情報セキュリティサービス基準適合サービスリストに掲載されていますし、私たちと同じぐらいのフェーズのスタートアップの診断実績も多数あるようだったので、お願いするにあたって不安感はありませんでした。

ーーFlatt Securityを選んだ決め手は何でしたか？

高木さん　1つはスピード感です。調整の手間が少なく済みました。Slackでやり取りできるので、コミュニケーションコストが低くて良いなと思いました。NDAや契約の締結も素早く対応いただいたのでありがたかったです。

また、技術面での調整のしやすさも魅力的でした。ヒアリングシートの提出は不要で、ステージングの環境だけを用意すれば良かったので助かりました。セキュリティ診断を外部ベンダーにお願いする際は、見積段階から対応コストがかかってきますが、今回は見積段階での対応コストをかなりカットできたように思います。

「期待通り」の診断を「想定よりも低コスト」で実施

ーー実際に診断を受けてみて、いかがでしたか？

高木さん　まず、技術面で言うと「期待通り」でした。OWASP TOP10にあるような観点だけでなく、業務ロジックに関するアドバイスもいただけたのでありがたく思いました。

診断報告書もとてもわかりやすく感じました。対応が必要な事項に関しても、作業方法が丁寧に解説されていたので、開発エンジニアから特に疑問などは上がりませんでした。

※Flatt Securityのセキュリティ診断報告書サンプルは こちら からダウンロード頂けます

「調整のしやすさ、コミュニケーションの取りやすさが決め手になった」と先程申し上げましたが、その部分に関しても非常に満足しています。やり取りがスムーズでしたし、そのおかげで開発チーム側に追加で対応してもらうことも少なく済みました。

ーー価格に関してはいかがでしたか？

高木さん　想定より低コストで実施できましたね。「こんなに他社と差が出るんだ」と衝撃でした（笑）。

※Flatt Securityのセキュリティ診断費用の見積もり資料は こちら で配布中です！

ーー最後に、セキュリティ診断以外の分野でFlatt Securityに期待していることがあれば、教えてください。

高木さん　セキュアコーディングのプロダクトは少ないので、KENROには頑張って欲しいですね。初心者向けのコンテンツが多い印象を受けたので、より上級者向けのコンテンツが増えるとありがたいですね。

ーー高木さん、本日はありがとうございました！

＜Flatt Securityのセキュリティ診断に関するお問い合わせはこちらから＞